DNS Changer

[Norvik]

Bonsoir,


Suis-je un cas isolé ? Google indique que mon Mac est infecté par le cheval de Troie "DNS Changer" et de m'orienter vers MacScan, qui a confirmé et isolé l'intrus. Mais re-belote après démarrage système. L'utilisation de l'outil "DNSChanger Removal Tool" n'a pas plus d'effet.
J'ai eu un soucis en début d'année (≈ février) avec une adresse IP de mon hébergeur de domaine (blocage de mes envois de mails). Cela peut-il avoir un lien ?

Configuration : iBook G4 12" - dd Ioméga 1To - Tiger (10.4.11)

Cordialement.

 

[Membre supprimé 428782]

Bonjour,

Le sujet a déjà été abordé sur Macgé (http://forums.macg.co/internet-et-reseau/blackout-1132922.html). Mais vous n'appendrez rien de nouveau...

Quel est le serveur DNS configuré dans les préférences réseau?
Quand, dans une fenêtre, vous tapez une commande nslookup (par exemple: nslookup lequipe.fr), qu'elle est l'adresse du serveur dns renvoyée?

J'ai eu un soucis en début d'année (≈ février) avec une adresse IP de mon hébergeur de domaine (blocage de mes envois de mails). Cela peut-il avoir un lien ?

Je ne pense pas.

 

[Norvik]

Bonjour Polo,

J'avais fait une recherche sur "DNS Changer" et sur "DNS"… Peut-être trop précis ou trop large.

Je ne sais pas où trouver les préférences réseau.
Je suis administrateur par la force des choses (comme sans doute la majorité des internautes), pas par choix, et encore moins pour mes compétences réseau.

Par contre l'utilitaire réseau (onglet Lookup) me retourne l'adresse suivante :
SERVER: 85.255.113.150#53

Je viens de passer une nouvelle fois MacScan, qui n'a trouvé aucun spyware. Mais j'ai toujours le bandeau d'alerte sur Google.

Merci de votre aide.

 

[Membre supprimé 428782]

L'adresse 85.255.113.150 est localisée en Ukraine. Pas bon...

Il faut regarder dans le menu:
Pomme---Préférences système--Réseau puis cliquer sur l'interface en vert.
On verra alors comment est configuré le DNS.

Je vous dirais ensuite comment interdire les comms vers ce site.

Quel est votre opérateur?

 

[Norvik]

Il faut regarder dans le menu:
Pomme---Préférences système--Réseau puis cliquer sur l'interface en vert.

J'ai bien ouvert l'interface Réseau, mais je n'ai ni interface en vert, ni de mode avancé (suggestion tierce). Je suis sous Tiger. Ceci explique peut-être cela.

Sinon, mon FAI est Free, et j'ai un compte chez Strato dont le serveur (mais était-ce le bon ?) m'a posé des soucis cet hiver.

 

[Membre supprimé 428782]

J'ai bien ouvert l'interface Réseau, mais je n'ai ni interface en vert, ni de mode avancé (suggestion tierce). Je suis sous Tiger. Ceci explique peut-être cela.

Sinon, mon FAI est Free, et j'ai un compte chez Strato dont le serveur (mais était-ce le bon ?) m'a posé des soucis cet hiver.

Je ne connais pas Tiger. Quelqu'un sur le forum pourrait nous dire où est la configuration réseau, et plus précisément du DNS?

---------- Nouveau message ajouté à 18h18 ---------- Le message précédent a été envoyé à 18h09 ----------

Faites le test avec le lien ci-dessous pour voir si vous êtes infecté :
http://www.dns-ok.fr/
Si oui (et ça va être oui) DNSChanger Removal Tool est fait pour se débarrasser du malware.
Il faudrait peut-être refaire un essai. Ca devrait marcher...

Sinon, en dernier recours (mais vraiment en dernier recours!) , si vous avez une âme d'aventurier, on pourrait utiliser le Terminal.C'est pas sûr que ça marche, mais ça vaut peut-etre le coup d'essayer.

-Dans une fenêtre Terminal, taper la commande :
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100) Votre mot de passe vous sera demandé.
C'est pour vérifier le contenu des règles du firewall du Mac pour savoir s'il n'y a pas de ligne n° 100

-Ensuite, tjs dans la fenêtre Terminal, taper la commande ci-dessous pour interdire toute comm avec le serveur DNS qui pose pb.
sudo ipfw add 100 deny ip from 85.255.113.150 to any

-On tape à nouveau la commande
sudo ipfw list (pour voir si la commande précédente est bien prise)

-Si la ligne est bien prise en compte, il faudrait rebooter le Mac, et regarder la conf DNS (quand on saura où c'est...). Ou refaire une commande nslookup lequipe.fr
Si le pb est résolu, il devrait y avoir l'adresse IP de la Freebox comme serveur DNS (si c'est la box qui est serveur DHCP)

 

[Norvik]

Dans le menu Pomme, il y a un sous-menu "Configuration réseau", qui ouvre la fenêtre Réseau des préférences système. En cherchant dans les différentes configuration, j'ai trouvé une référence aux serveurs DNS, dans : Ethernet intégré — TCP/IP. Aucun serveur n'est répertorié (mode de configuration automatique).
Est-ce la bonne page ?


Sinon, j'ai passé DNSChanger Removal Tool et Mac Scan, qui ne trouvent plus aucun spyware, sans aucune amélioration du diagnostic après redémarrage…

J'essaierai les commandes du terminal dès que je pourrai identifier le DNS.

Merci pour votre aide.

---------- Nouveau message ajouté à 19h24 ---------- Le message précédent a été envoyé à 18h31 ----------

J'ai deux adresses DNS Free, une en principal, l'autre en secondaire (?) Elles ont un digit de moins que l'adresse actuelle (détournée).

 

[Membre supprimé 428782]

Dans le menu Pomme, il y a un sous-menu "Configuration réseau", qui ouvre la fenêtre Réseau des préférences système. En cherchant dans les différentes configuration, j'ai trouvé une référence aux serveurs DNS, dans : Ethernet intégré — TCP/IP. Aucun serveur n'est répertorié (mode de configuration automatique).
Est-ce la bonne page ?

Alors ça doit être là!

Il faudrait relever la conf réseau:
Adresse IP:
Masque :
routeur:
DNS (DNS Free mauvais)

Puis passer en mode de configuration manuelle.
On renseigne alors la même adresse IP, masque et routeur que ci-dessus, et on rajoute le serveur DNS public de Google: 8.8.8.8
On reboote le Mac.
On regarde la conf réseau pour voir si le DNS est bien 8.8.8.8 et si ça marche. Mais je n'y crois pas...
Quelque chose me dit que si le malware est tjs là, il remettra les DNS Free invalides.

Il restera alors à essayer la commande ipfw ...

---------- Nouveau message ajouté à 19h51 ---------- Le message précédent a été envoyé à 19h37 ----------

"Pourquoi, en cas d’infection par le virus “DNSChanger”,ne pourrais-je sans doute plus surfer sur internet à partir du 9 juillet 2012?
En novembre 2011, le FBI américain a découvert que des cybercriminels avaient développé le virus “DNSChanger”. Le FBI a alors pris le contrôle des serveurs DNS mis en cause. Ceux-ci dirigeaient en effet les utilisateurs de l’ordinateur vers des sites web frauduleux ou publicitaires permettant aux cybercriminels de gagner de l’argent.

Le FBI américian a remplacé les faux serveurs DNS par des serveurs temporaires grâce auxquels les ordinateurs infectés ne sont plus dirigés vers des sites web frauduleux.

Après le 9 juillet 2012 le FBI désactivera définitivement ces serveurs DNS temporaires. Les ordinateurs infectés ne pourront donc plus accéder à internet."

(Source http://www.dns-ok.be/dnschanger_fr.html)


Si j'ai bien compris, l'adresse IP du DNS 85.255.113.150 ne doit plus être localisé en Ukraine (parce que détourné par le FBI). Donc, pour l'instant, vous ne craignez rien, mais si demain (9 juillet), le FBI fait en sorte de ne plus router cette adresse, vous n'aurez plus de serveurs DNS.
Dur, de naviguer sans serveurs DNS...

Si bien sûr, c'est un pb DNSChanger...:siffle:

 

[Powerdom]

Bonsoir,


Suis-je un cas isolé ? Google indique que mon Mac est infecté par le cheval de Troie "DNS Changer" et de m'orienter vers MacScan, qui a confirmé et isolé l'intrus. Mais re-belote après démarrage système. L'utilisation de l'outil "DNSChanger Removal Tool" n'a pas plus d'effet.
J'ai eu un soucis en début d'année (≈ février) avec une adresse IP de mon hébergeur de domaine (blocage de mes envois de mails). Cela peut-il avoir un lien ?

Configuration : iBook G4 12" - dd Ioméga 1To - Tiger (10.4.11)

Cordialement.

Ce n'est que de la pub pour vous faire acheter macscan rien de plus.
Ne l'achetez surtout pas bien sur. Vous n'avez aucun virus sur votre Mac.

 

[Norvik]

Ce n'est que de la pub pour vous faire acheter macscan rien de plus.
Ne l'achetez surtout pas bien sur. Vous n'avez aucun virus sur votre Mac.

Le souci c'est que je ne peux pas accéder à Facebook, qui m'oppose une alerte de même nature que Google, mais qui m'interdit l'accès, par exemple...

---------- Nouveau message ajouté à 23h53 ---------- Le message précédent a été envoyé à 23h13 ----------

Alors ça doit être là!

…

On regarde la conf réseau pour voir si le DNS est bien 8.8.8.8 et si ça marche. Mais je n'y crois pas...

Ça ne dois pas être là. Le DNS entré est bien celui de Google, mais c'est toujours le 82.255… qui est retourné par Lookup.

Il restera alors à essayer la commande ipfw ...

Ça n'a pas marché non plus. Voici le texte entré dans Terminal :

GM-6:~ gm$ sudo ipfw list
Password:
65535 allow ip from any to any
GM-6:~ gm$ sudo ipfw list
65535 allow ip from any to any
GM-6:~ gm$ sudo ipfw add 100 deny ip from 85.255.113.150 to any
00100 deny ip from 85.255.113.150 to any
GM-6:~ gm$ sudo ipfw list
00100 deny ip from 85.255.113.150 to any
65535 allow ip from any to any

Est-ce correct ? En tout cas ça ne semble pas avoir changer grand chose.

 

[Membre supprimé 428782]

GM-6:~ gm$ sudo ipfw list
00100 deny ip from 85.255.113.150 to any
65535 allow ip from any to any[/I]

Est-ce correct ? En tout cas ça ne semble pas avoir changer grand chose.

Oui, c'est bon. Le Mac a bien été rebooté?

Autrement, pour info, la commande pour virer la ligne 100 est:
sudo ipfw delete 100

 

[Norvik]

Ça y est. Je n'ai plus de connexion. Je dois passer par un autre disque qui, heureusement, n'a pas été infecté. Mais c'est plus du dépannage, qu'une solution pérenne...

 

[Membre supprimé 428782]

Ça y est. Je n'ai plus de connexion. Je dois passer par un autre disque qui, heureusement, n'a pas été infecté. Mais c'est plus du dépannage, qu'une solution pérenne...

Ca veut dire qu'il n'y a plus le message qui indique que le Mac est infecté par DNSChanger?

Sinon, c'est vrai que c'est du bidouillage...

 

[Norvik]

Une petite analyse du Lookup de mon disque de démarrage actuel, montre un pointage sur le DNS Free. Reste à trouver comment initialiser le DNS dans Tiger. Je vais faire un tour du côté du forum OSX…

 

[Membre supprimé 428782]

Ce n'est que de la pub pour vous faire acheter macscan rien de plus.
Ne l'achetez surtout pas bien sur. Vous n'avez aucun virus sur votre Mac.

Mouais, c'est vrai qu'il ne faut pas parler virus à un Mac user...
Mais on peut parler malware.
Ce qu'il y a quand même de curieux dans cette histoire, c'est que la commande nslookup renvoie un autre serveur DNS que ceux qui sont dans les préférences réseaux.
Je pense que si on avait regardé dans le fichier preferences.plist, on aurait trouvé l'adresse 85.255.113.150
Et cette adresse semble bien liée à DNSChanger.

 

[Cricri]

Demain je passe chez mon père qui est victime du problème et je n'avais pas noté la date limite du 9 juillet. Quelles solutions maintenant ? Télécharger de mon côté "DNSChanger Removal Tool" et partir chez lui avec sur une clef USB... et prier ?

 

[Cricri]

Problème résolu en mettant l'adresse DNS de Google (Merci Macinside).

 

[screedeperpi]

Hey !

PPfffff je comprends rien à votre conversation, je suis largué là...

Je suis vraiment pas un kador quand il s'agit d'entrer dans les entrailles virtuelles des ordis...

Y'a t il un didacticiel pour désinfecter son Mac de ce fichu DNSchanger ?

Merci.

---------- Nouveau message ajouté à 11h00 ---------- Le message précédent a été envoyé à 09h43 ----------

Bon et bien voilà, je viens d'appeler Free et ils m'ont donné les bons DNS. Tout marche très bien puisque je vous parle en direct live de mon cher Mac...

Après je me dis : Est ce que c'est suffisant ? La méchante bébête n'est elle pas restée en planque dans les tréfonds de mon iMac ? :mouais:

Avant de changer les mauvais DNS, j'ai téléchargé DNS Changer Removal Tool. Après le scan il me dit que je ne suis pas infecté ?! Puis je lui faire confiance ?

 

[Membre supprimé 428782]

Avant de changer les mauvais DNS, j'ai téléchargé DNS Changer Removal Tool. Après le scan il me dit que je ne suis pas infecté ?! Puis je lui faire confiance ?

Je pense que oui...

Le Mac récupère le malware en naviguant sur certains sites proposant des vidéos... :siffle:
Pour les visionner, le site demande (via un lien), l'installation d'un codec.
Manque de bol, c'est pas un codec, c'est le malware.:eek:
"DnsChanger Removal tool" recherche vire le troyen.

 

[Jiben32]

Bonjour,
Je suis aussi dans l incapacité de me connecter a internet et malheureusement je ne suis vraiment pas un pro, donc si quelqu'un pouvait m aider clairement ce serai magique merci d avance...